Postřehy z bezpečnosti: první bootkit pro Apple

Martin Čmelík 12. 1. 2015

V dnešním díle Postřehů se podíváme na první známý Apple bootkit, kdy k úspěšnému přepsání Boot ROM stačí připojit upravené Thunderbolt zařízení, dále na to, kam vedou stopy od útoku na Sony, jak firma Gogo podvrhovala certifikáty, na automatizovaný nástroj pro podvrhování Wi-Fi sítí a mnoho dalšího.

Trammell Hudson na známé konferenci CCC (Chaos Communication Congress) představil první veřejně známý persistentní bootkit využívající chyb Apple EFI firmwaru, který mu dovolil zapsat vlastní kód do ROM paměti Macbooku. Do notebooku společnosti Apple se již před časem přestal dodávat TPM chip, který je schopen pomoci odhalit takto modifikovaný kód pomocí ověření jeho podpisu. Tuto funkcionalitu však Macbooky nemají a spoléhají se jen na CRC hash, který lze obejít. Pojďme si to popsat blíže.

Zjednodušeně řečeno se Macbook spouští v těchto krocích:

1) Načtení Boot ROM firmwaru a přepnutí do Read-Only módu.

2) Načtění “Option ROM” firmwaru z připojených Thunderbolt zařízení.

3) Načtení EFI kódu.

4) Načtení zavaděče OS X.

To znamená, že při pokusu o přepsání Boot ROM pomocí upraveného Thunderbolt zařízení je prvním problémem read-only mód. To lze obejít přepnutím systému do módu, kdy se má aktualizovat (či opravit) Boot ROM. Dalším problémem však je, že aktuální kód Boot ROM vám nedovolí sám sebe přepsat kódem, který není podepsaný certifikátem Applu. V tomto případě však Trammellovi pomohlo, že i když to zřejmě není vůbec potřeba, tak se v tomto módu načítá i Option ROM připojených Thunderbolt zařízení. K tomu všemu v takovém pořadí, že je možné použít kód z Option ROMu k přepsání kódu pro aktualizaci Boot ROMu až po ověření podpisu Boot kódu, ale před jeho zapsáním. A to je kámen úrazu.

Pak už jen stačilo použít vhodnou periferii (Apple LAN adapter) s přepisovatelnou Option ROM a přepsat z Boot ROM jen tu část, která ověřuje podpis kódu.

Tomuto útoku říká Thunderstrike a na svém webu detailně popisuje, jak přesně postupoval, jaké problémy musel řešit a hlavně jakými postupy, aplikacemi a hardwarem je vyřešil. Je to velice užitečný zdroj informací pro člověka, kterého tématika zajímá a který by měl zájem si to sám zkusit.

S úspěšně zavedeným bootkitem můžete plně ovládat systém, odposlechnout i heslo k šifrovaným diskům, podsouvat antivirovým programům falešná data a samozřejmě bonusem je, že reinstalací se škodlivého kódu nezbavíte.

Apple již pracuje na opravě kódu, aby se Option ROM nenačítal během aktualizace Boot ROM. To efektivně zabrání tomuto útoku, ale pořád bude možné použít „Dark Jedi útok, o kterém na stejné konferenci mluvili Rafal Wojtczuk a Corey Kallenberg.

Naše postřehy

Nová verze OpenSSL opravuje osm bezpečnostních chyb. Žádná z nich neumožňuje vzdálené spuštění kódu, vypsání paměti, ani dešifrování komunikace (naštěstí). Chyba v implementaci DTLS umožňuje provést DoS útok. Je dobré ji zmínit, protože DTLS se často používá u moderních klientských VPN spojení (např. AnyConnect, OpenConnect, Edge VPN,…) a při šifrovaném streamování médií.

PowerSploit je kolekce PowerShell skriptů, které se mohou hodit nejednomu penetračnímu testeru OS Windows. Na webu InfoSec Institute je podařený článek popisující práci s tímto balíkem.

Útok na síť Sony skupinou “Guardians of Peace” za sebou zanechal (neprůkazné) stopy vedoucí do Severní Koreje. To uvedl ředitel FBI James Comey. Skupina prý reagovala v komentářích na Internetu a posílala emaily z IP adres, které jsou registrované Severní Koreou.

Někteří uživatelé Skypu nahlásili podvodnou reklamu ve svých klientech nabádající je ke stažení aktualizace Adobe či Javy, protože to jedna z komponent klienta vyžaduje. Podle několika z nich odkaz vedl na webovou stránku podobnou stránce Adobe a snažil se nainstalovat vir/malware.

Společnost Gogo, která je největším poskytovatelem Internetu v letecké přepravě, podepisovala vlastním certifikátem HTTPS služby jako YouTube, Twitter apod., takže pokud jste ignorovali upozornění prohlížeče/klienta o certifikátu vydaném nedůvěryhodnou certifikační autoritou, tak veškerá vaše komunikace mohla být dešifrována. Toto chování (jakkoliv obhajované) je v dnešní době naprosto nemyslitelné.

Wifiphisher je automatizovaný nástroj pro podvrhování WiFi sítí v okolí (WPA/WPA2), kdy je cílem získání hesel a jiných údajů k přístupovým bodům. Této metodě se říká “Evil Twin”. Účinnou obranou je ověřování certifikátu AP klientem, kterým se musí prokázat před předáním klíče/fráze/certifikátu.

Bitstamp po krádeži 19000 BTC opět funguje. Staré servery se stále analyzují a služba teď běží na Amazon Cloudu.

widgety

Ve zkratce

Pro pobavení

“Perimeter security at Sony”

(klikněte pro načtení – cca 5MB)

https://i.imgur.com/2YnlJBL.gif

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Facebook dva roky falšoval čísla videí

Facebook dva roky falšoval čísla videí

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?